网络安全专题 1
隐藏在背后的阴谋 浏览器劫持的攻与防
“浏览器劫持”,通俗点说就是故意误导浏览器的行进路线的一种现象,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。那么,这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。
一、“攻”之解说
1、整体认识。
浏览器劫持(Browser Hijack)是一种恶意程序软件,通过恶意修改用户个人电脑的浏览器默认设置,以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时,通过修改其浏览器默认首页或搜索结果页,达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里,成为浏览器的一部分,进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重,用户只有在受到劫持后才会发现异常情况;目前,浏览器劫持已经成为Internet用户最大的威胁之一。
2、现象分析。
“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”,即是说大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段来植入系统。
而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”, 由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作,这些操作都被系统视为“合法”,这就是“浏览器劫持”现象赖以存在的根源。
二、“防”之细谈
这类现象确实难以防范,用户永远处于被动地位。我们只能通过一些设置与软件的应用,让这种影响减至最低。以下办法可供大家参考。
个别劫持现象的手动修正。
Windows登录窗口被劫持。
在注册表中打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支,然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。
在网页中单击鼠标右键,在弹出的菜单里显示网页广告。
在注册表中打开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支,IE浏览器中显示的附加右键菜单都在这里设置,常见的网际快车单击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。
三、总结
浏览器一旦被劫持,就意味这你无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
安全知识:怎么守住你的钱包 网上购物的安全忠告
一.网上购物一般面临两方面的风险:
1.购物网站的信用风险--即该网站是否真实经营?是否有欺骗性质?其将不能保证其交货义务的履行。
2.购物网站的经营性风险--即该网站是真实诚信经营,但该网站经营不善,随者网络泡沫一起破灭.对购物本身并无影响,但对在其购买需保修的电器等产品的售后保修服务等,将无法进行,或其承诺的积分制,购物券等将无法实行.
二.网上购物的提醒、忠告:
1.选择历史较长的网站购物,如本网4-5年前电子商务刚兴起时就创建的一批网站,经历网络泡沫后,一直健康发展下来的网站,该批网站,信用服务一般都较好,信用及服务水平普遍高于传统购物;有欺骗性的网站,一般才建立2-3个月,3-4个月到半年,不会长久.----历史越长,可信度越高.
2.选择访问量较高的网站购物,现有许多新网站,产品也较多,页面也较美观,看上去很像样,但一看他的访问量,就会发现,按其访问量,一天内可能都不会卖出一件商品,如何正常经营呢?--- 访问量越高,可信度越高,(涉及色情内容,或特殊手段除外)
3.在自销售式的购物网站购物,一些出租柜台式的购物网站,信用一般没问题,但其自己不销售,收取入住费\广阿告费,所以一般价格较高,切且服务不能整齐化一;另一种拍卖网站,主要提供给个人销售旧货,拍卖网站一般信用到没问题,但售货的是个人,其信用风险很大,要特别谨慎. ---- 自己销售-自己负责 式的购物网站,可信度高。
4.选择口碑好的网站购物, 信用服务好的网站,一般都会在网民心中有较好口碑,如本网在广大网友中,已形成良好印象,用我们优质的服务,博得了良好的口碑,其中不乏一些日本,韩国的网友,也向其朋友推荐本网.
5.选择可货到付款的网站购物,全国范围货到付款需要一定的实力规模,所以只有一定规模的正规网站才做得到,同时避免先付款的风险.
6.欺骗性网站相对集中的特征:
A.销售手机\电器[香港货,走私货]\偷拍器材的网站,该范围也有很多信用很好的网站,不能一盖而论。
B.个人购物网站,从其联系方法就可看出.列如:24小时电话,正规公司不会24小时工作的;联系电话是手机,QQ联系,正规公司不会用个人的手机作为公司电话的...,该范围也有很多信用很好的网站,不能一盖而论。
C.个人拍卖网站,产品多,价格特低,什么都有,正规商店是不可能什么都卖的,20元就可买劳力士手表...,在此拍卖网站受骗,网站一般都不负责,该范围也有很多信用很好的网站,不能一盖而论。
D.网站很漂亮,但根本没真实的产品供应,对销售的产品不具专业知识,访问量很小,(如您向其购买,可能就是唯一上当的)如很多熟悉网络技术的个人,很快做个网站,但他们根本没有产品,更不具供货、发货能力。
安全知识:经验共享---如何防御网络游戏外挂木马
目前,很多人在各绝对女神论坛中发布各种所谓的外挂程序,或者不明网站的链接,我们奉劝各位,千万不要点击。因为那很有可能会捆绑一个“键盘纪录器”。
为了您账号的安全,请您留心一下这些隐藏在诱惑中的“黑手”。建议您下载专业杀木马软件。
防范方法:
1、请将IE的"INTERNET选项"的"高级"设置为"恢复默认设置"。
2、不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序。
3、不要随便打开来历不明信件的附件。
4、安装最新杀毒软件,并定时升级病毒库。
5、小心网吧的计算机上安装有记录键盘操作的软件,或被安装了木马。使用网吧计算机时,需先
按ctrl,alt,del三个键,看看是否有来历不明的程序正在运行,如果有,则立即将该程序结束
任务。
6、网吧上网的用户,最好是在上机器前去华军软件园下载LDM木马检查工具
(bj.onlinedown.net/soft/11555.htm),先扫描一下机器看是否有木马程序。
· 针对于一些暴力破解密码的软件,破解用户的帐号密码
这种方法主要是通过使用一些暴力破解密码的软件,用穷举法逐个的尝试用户的帐号密码,但需要使用者有一定的电脑知识,而且破解需要很长时间。
防范方法:
1、尽量避免将游戏帐号暴露在公众论坛和其他网站。
2、用户在设置密码时,尽量设置的复杂一点,最好设置为8位数以上的字母、数字和其他符号的组
合。
3、不要使用可轻易获得的关于您的信息作为密码。这包括生日、身份证号码、手机号码、您所居住的街道的名字等等。
4、经常更换密码,因为8位数以上的字母、数字和其他符号的组合也不是无懈可击的。
5、申请密码保护,也就是设置安全码,安全码不要和密码设置的一样。如果您没有设置安全码,
那么别人一旦破解您的密码,就可以把您的密码和注册资料(除证件号码外)全部修改。
· 木马防御全攻略
1、您的计算机是否已被装了木马?如何检测?
1)检查注册表
看HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows/Curren Version 和
HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion下,所有以"Run"开头的键值
名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有
木马喜欢在这里驻留的。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注
册表中的位置:
HKEY_CURRENT_USER/Software/MicrosoftWindows/Current Version/ExplorerShell Folders
Startup="C:windowsstart menuprogramsstartup"。要注意经常检查这两个地方哦!
3)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方。
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果
有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加
载木马的好场所,因此也要注意这里了。当你看到变成这样:
Shell=Explorer.exewind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4)检查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木马们也很可能隐藏在
那里。
5)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是,则
说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重
新安装一下了。
6)木马启动都有一个方式,它只是在一个特定的情况下启动,所以,平时多注意一下你的端口,查
看一下正在运行的程序,用此来监测大部分木马应该没问题的。
2、目前已经有一些专门的清除木马的软件,在新推出天网防火墙里面捆绑有强大的木马清除功能,清除一般木马的机制原理主要是:
1)检测木马。
2)找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置。
3)删除木马文件,并且删除注册表或系统启动文件中关于木马的信息。
但对于一些十分狡滑的木马,这些措施是无法把它们找出来的,现在检测木马的手段无非是通过网络连接和查看系统进程,事实上,一些技术高明的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。
3、木马防范工具。
防范木马工具有很多,请您务必安装一个,以提高您的计算机的安全性。
